Új trójai kampány adatlopásra használja ki a Cisco Webexet
2024 márciusában a Trellix Advanced Research Center egy kifinomult támadási kampányt azonosított, amely latin-amerikai és ázsiai-csendes-óceáni felhasználókat célzott meg. A támadók arra vették rá az áldozataikat, hogy jelszóval védett archív fájlokat töltsenek le, amelyek a Cisco Webex Meetings alkalmazás rosszindulatú másolatát tartalmazzák. Az alkalmazás futtatásakor az alkalmazás titokban betöltötte a Vidar Stealer rosszindulatú betöltőprogramot, ami így egy információlopó modul telepítéséhez vezetett, amelyet a hitelesítő adatok és érzékeny adatok kiszivárogtatására terveztek.
A HijackLoader néven azonosított kezdeti betöltő a DLL mellékfeltöltést használta ki a Cisco Webex legitim folyamatain keresztül, lehetővé téve ezzel a vírusirtó és fenyegetésérzékelő rendszerek kijátszását. A támadók különböző taktikákat alkalmaztak, többek között folyamatbefecskendezést és parancs- és vezérlési (C2) kommunikációt, a perzisztencia fenntartásához és a hitelesítő adatok ellopásához. A Trellix kutatói a támadás több szakaszát dokumentálták, a kezdeti hozzáféréstől a hitelesítő adatokhoz való hozzáférésen át a C2 kommunikációig, kiemelve a kampány kifinomultságát. A Trellix EDR beépített észlelései hatékonyan azonosították a fenyegetést és reagáltak rá, értékes betekintést és ajánlásokat adtak az ilyen támadások mérséklésére.
A kitérő trójai kampányok enyhítése
Ez a kampány hangsúlyozza a szilárd kiberbiztonsági intézkedések és a felhasználói tudatosság fontosságát. Az olyan törvényes szoftverek, mint a Cisco Webex, rosszindulatú programok terjesztésére való felhasználása rávilágít a biztonsági protokollok folyamatos ellenőrzésének és frissítésének szükségességére. Az ajánlások között szerepel a felhasználók képzése az ismeretlen forrásból származó szoftverek letöltésének elkerülésére, az EDR-riasztások szoros figyelemmel kísérése, valamint a váratlan fájlformátumok és az általánosan visszaélhető bináris programok által kezdeményezett hálózati kapcsolatok blokkolása. Ezen intézkedések végrehajtása segítheti a szervezeteket a hasonló fenyegetések felismerésében és az azokra való reagálásban, így biztosítva a kifinomult kibertámadásokkal szembeni jobb védelmet.
(forrás)
(forrás)